ビュー:

管理コンソールの 受信保護設定 > スパムメールフィルタ > スパムメールポリシー または 送信保護設定 > スパムメールフィルタ の画面には「Webレピュテーション」の検索条件が選択されたポリシールールが配置されます。

初期設定 では 受信保護設定 > スパムメールフィルタ > スパムメールポリシー に「Webレピュテーション」の検索条件が選択された "Spam or Phish" と "Newsletter or spam-like" (いずれもセキュリティレベルは「中高」) のポリシールールがそれぞれ用意されており、有効化されています。

また、送信保護設定 > スパムメールフィルタ には "Global Outbound Policy (Spam or Phish)" (セキュリティレベル「最高 (最も強力)」) と "Outbound - Spam or Phish" (セキュリティレベル「中高」) が用意されています。

"Global Outbound Policy (Spam or Phish)" のポリシールールはスパムメールの送信などで TMEmS/V1ECS のメールサーバが他社のブロックリストに登録されることを防止するため、常に有効化されており、ユーザはレベルを変更するなど設定を変更することは一切できません。ただし、処理設定には「メッセージをインターセプトしない」が設定されているため、同ポリシールールにより検出されたとしても他のポリシールールにより隔離されたり削除されない限りメッセージは宛先に配送されます。

なお、"Outbound - Spam or Phish" のポリシールールは初期設定では無効化されています。

Webレピュテーションの検索条件の設定では「セキュリティ設定」「仮想アナライザ」「Time-of-Clickプロテクション」などのセクションに分かれていますが、ここでは主に「セキュリティ設定」の設定したがってWebレピュテーションが検出する仕組みや除外方法について説明します。

検出の仕組み

Webレピュテーションの検出条件では、URL に対するWebレピュテーションの安全性評価と設定されているセキュリティレベルに応じてメッセージを検出します。

まず、Webレピュテーションの検索時にメッセージの本文や添付されているファイルに URL が含まれていれば、Webレピュテーションの評価サーバにクエリし、その URL に対する安全性評価をチェックします。

URL に対するWebレピュテーションの安全性評価は「安全」「未評価」「不審」「非常に不審」「危険」に区分されており、Site Safety Center で確認できます。

検出テスト用の URL は こちら の 製品Q&A などで公開されています。

一方、ポリシールールの検索条件の設定で「Webレピュテーション」をクリックして表示されるWebレピュテーションの設定画面では、セキュリティ設定 のセクションにおいて「最低 (最も控えめ)」から「最高 (最も強力)」までの 6段階 でセキュリティレベルを選択できます。各セキュリティレベルには以下のように検出対象となる URL が設定されており、セキュリティレベルが高いほど多くの URL が検出されます。

最低 (最も控えめ): 安全性評価が「危険」の URL
: 安全性評価が「非常に不審」「危険」の URL
中低: 安全性評価が「非常に不審」「危険」の URL
中高: 安全性評価が「非常に不審」「危険」の URL
: 安全性評価が「不審」「非常に不審」「危険」の URL
最高 (最も強力): 安全性評価が「不審」「非常に不審」「危険」の URL

例えば URL に対する安全性評価が「危険」であれば、すべてのセキュリティレベルで検出されます。しかし、安全性評価が「不審」な場合、セキュリティレベルが「高」または「最高 (最も強力)」の場合のみ検出されます。

実際にはWebレピュテーションの安全性評価はスコアで登録されており、各セキュリティレベルもスコアのしきい値で設定されています。例えば異なる URL に対して Site Safety Center では「非常に不審」と評価されていたとしても、各 URL に対するスコアは異なる可能性があります。

そのため、例えばセキュリティレベルの「低」「中低」「中高」で検出される URL が「非常に不審」と「危険」で同じ評価の URL に見えますが、安全性の評価が同じ「非常に不審」の URL であったとしてもセキュリティレベルが「低」「中低」では検出されず「中高」では検出されるといったことがあります。

Webレピュテーションの評価が行われていない未評価の URL に関してはどのセキュリティレベルでも検出されませんが、「未評価のURLを含むメッセージに処理を適用する」のオプションを有効化することで検出できます。

「未評価のURLを含むメッセージに処理を適用する」のオプションを有効化した場合、内部に設置されたWebサーバの URL など正当な URL であったとしても未評価の URL であればWebレピュテーションで検出されます。そのため、同オプションを有効化する場合、必要に応じて Webレピュテーション承認済みリストで除外 してください。

検出されたメッセージの確認方法

Webレピュテーションの検索条件で検出され、メッセージが隔離された場合、隔離されたメッセージは 管理コンソールの 隔離 > クエリ の画面で検索できます。Webレピュテーションの検索条件でメッセージが検出された場合、検索された隔離メッセージの 理由 には「Webレピュテーション」と表示されます。

また、管理コンソールの ログ > ポリシーイベント の画面ではポリシールールで検出されたメッセージを検索できます。Webレピュテーションの検索条件で検出された場合、検索されたログの 脅威の種類 に「Webレピュテーション」と表示されます。

管理コンソールの ログ > ポリシーイベント の画面で検出されたメッセージの日時をクリックすると 詳細画面 が表示されますが、Webレピュテーションで検出された場合、違反したURL の項目に検出した URL が表示されます。

仮想アナライザへの送信

Webレピュテーションの検索条件の設定において 仮想アナライザ のセクションにある「仮想アナライザにURLを送信する」を有効化することで、未評価の URL など疑わしい URL が仮想アナライザ (サンドボックス) に送信されます。

そのため、フィッシングサイトの URL 等、脅威のある URL がメッセージを検索したタイミングでは未評価の URL であったとしても、仮想アナライザによる解析により検出できる可能性があります。詳しくは こちら を参照してください。

Time-of-Click プロテクション機能

Webレピュテーションの検索条件の設定において Time-of-Clickプロテクション のセクションにある「Time-of Clickプロテクションを有効にする」を有効化することで、未評価の URL など疑わしい URL が Time-of-Click プロテクション の URL に置き換えられます。

そのため、フィッシングサイトの URL 等、脅威のある URL がメッセージを検索したタイミングでは未評価の URL であったとしても、メッセージの受信者がその URL をクリックした際に URL アクセスをブロックできる可能性があります。詳しくは こちら を参照してください。

Webレピュテーションの検索から除外する方法

例えば外部に公開していない内部に設置されたWebサーバの URL などはWebレピュテーションでは評価できません。「未評価のURLを含むメッセージに処理を適用する」のオプションを有効化した場合、このような未評価の URL は常にWebレピュテーションで検出されます。

あるいは、本来「安全」と評価される URL が「危険」と判定され、Webレピュテーションで検出されることもあります。

ビジネスサポートポータルまたはパートナーポータルから種別に「脅威」、カテゴリに「URL解析依頼」を選択して URL の再評価を 依頼 することができます。

このような場合の回避策として、検索条件「Webレピュテーション」の検索から除外します。Webレピュテーションの検索から除外するには以下の方法があります。

送信保護のトラフィックに関しては「送信者による除外」「接続元IPアドレスによる除外」の方法ではWebレピュテーションの検索から除外できません。

送信者による除外

特定の送信者からのメッセージをWebレピュテーションの検索から除外するには、管理コンソールの 受信保護設定 > 送受信フィルタ > 送信者フィルタ承認済み送信者 に送信者のメールアドレスを登録します。

こちら で説明されているように、メッセージの送信者が承認済み送信者のリストに登録されている場合、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索から除外されるため、「Webレピュテーション」の検索条件で検索されることはありません。

接続元IPアドレスによる除外

特定の接続元からのメッセージをWebレピュテーションの検索から除外するには、管理コンソールの 受信保護設定 > 送受信フィルタ > IPレピュテーション承認済みIPアドレス に「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した上で接続元IPアドレスを登録します。

こちら で説明されているように、「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した場合、承認済み送信者のリストに登録されているIPアドレスからのメッセージはIPレピュテーションのチェックに加え、受信保護設定 > スパムメールフィルタ > スパムメールポリシー のポリシールールの検索からも除外されるため、「Webレピュテーション」の検索条件で検索されることはありません。

Webレピュテーション承認済みリストによる除外

Webレピュテーション承認済みリストによってWebレピュテーションの検索から除外するにはふたつのステップがあります。

まず Step 1 において「Webレピュテーション」の検索条件の設定でWebレピュテーション承認済みリストによる除外を有効化します。次に Step 2 において URL をWebレピュテーション承認済みリストに登録します。

  • 一度 Step 1 でWebレピュテーション承認済みリストによる除外を有効化すれば、その後は 管理 > ポリシーオブジェクト > Webレピュテーション承認済みリスト の画面でWebレピュテーション承認済みリストを管理するだけです。

  • Webレピュテーション承認済みリストによってWebレピュテーションの検索から除外されたことをログから確認することはできません。

Step 1 Webレピュテーション承認済みリストによる除外の有効化

まず、受信保護設定 > スパムメールフィルタ > スパムメールポリシー または 送信保護設定 > スパムメールフィルタ の画面で「Webレピュテーション」の検索条件が選択されているポリシールールをクリックし、検索条件のセクションを開きます。

次に「Webレピュテーション」の検索条件をクリックし、Webレピュテーション承認済みリスト のセクションにある「Webレピュテーション承認済みリストを有効にする」を有効化して設定を保存します。

Step 2 Webレピュテーション承認済みリストへの登録

管理コンソールの 管理 > ポリシーオブジェクト > Webレピュテーション承認済みリスト の画面を開くと、Webレピュテーション承認済みリスト が表示されます。

[追加] ボタンをクリックするとWebレピュテーション承認済みリストの「項目」の登録画面が表示されます。必要事項を入力あるいは選択し、[保存] ボタンをクリックするとWebレピュテーション承認済みリストに追加されます。

一般的に URL は以下のような構成となっています。

<スキーム>://<ホスト>/<パス>(?<クエリストリング>)

スキーム には http または https、ホスト にはドメインまたはIPアドレス、パス には任意のディレクトリやファイル名などが指定されます。

Webレピュテーション承認済みリストの新規登録時、または既存の項目の設定変更時には種類に「ドメイン」「IPアドレス」「URL」のなかからひとつ選択します。

種類に「ドメイン」または「IPアドレス」を選択した場合、ホスト の部分が対象となり、ホスト に一致する URL であれば、スキームパス に関係なく、すべてWebレピュテーションの検索から除外されます。例えば種類に「ドメイン」を選択して www.example.com を登録した場合、<http://www.example.com/> や <https://www.example.com/>、<http://www.example.com/index.html> などの URL すべてが除外されます。

一方、種類に「URL」を選択した場合、スキーム から ホストパス までの URL 全体が対象となり、URL 全体に一致しなければWebレピュテーションの検索から除外されません。例えば種類に「URL」を選択して http://www.example.com/test/ と登録した場合、<http://www.example.com/test/> の URL は除外されますが、<http://www.example.com/> や <http://www.example.com/test/file/>、<https://www.example.com/test/> の URL は除外されません。

特別な事情がない限り、種類に「ドメイン」を選択し、ドメインをWebレピュテーション承認済みリストに登録してください。

なお、種類に「ドメイン」を選択した場合、example.com と www.example.com のようなサブドメインは明確に区別されます。

example.com を登録した場合、<http://example.com/> の URL は除外されますが、<http://www.example.com/> の URL は除外されません。一方、*.example.com を登録した場合、<http://www.example.com/> の URL は除外されますが、<http://example.com/> の URL は除外されません。

また、*.com や *.jp などワイルドカードを使用したトップレベルドメインのドメイン、example.* などトップレベルドメインにワイルドカードを使用したドメイン、そして example_test.com などアンダースコア (アンダーバー) が使用されているドメインは以下のメッセージが表示され、登録できません。

 

ドメイン名の形式が正しくありません。

  • Webレピュテーション承認済みリストに登録可能な項目数の上限は 500 です。

  • Webレピュテーション承認済みリストや項目は [エクスポート] または [すべてエクスポート] ボタンでエクスポートできます。エクスポートした項目やリストは [インポート] ボタンで復元できます。

  • すでに登録されている「項目」をクリックするとその項目の登録画面が表示され、設定を確認できます。しかし、一度登録した項目の種類やドメインは変更できません。変更する場合には新たに項目を登録し、既存の項目を削除する必要があります。

  • 登録画面の 処理なし にある「Webレピュテーションサービス」を無効化すると、Webレピュテーション承認済みリストの画面では「Webレピュテーションサービスのバイパス」に No と表示されます。

    この場合、Webレピュテーション承認済みリストは 仮想アナライザ と Time-of-Click プロテクションに対してのみ有効となり、Webレピュテーションの検索から除外されません。

    そのため、Webレピュテーションの検索から除外するには登録画面では「Webレピュテーションサービス」を必ず有効化してください。

キーワード: Trend Micro Email Security TMEmS